TrustWallet conseille de désactiver iMessage pour sécuriser vos cryptomonnaies
C’est probablement du pipeau.
TrustWallet un fournisseur de portefeuille pour cryptomonnaies décentralisé, crée par Binance, mais qui est depuis peu une entité juridique indépendante. L’entreprise a récemment publié une mise en garde à propos d’un risque pour les utilisateurs iPhone.
La supposée faille iOS dont il est question ici concerne iMessage, et a été repérée sur le Dark Web. TrustWallet conseille par conséquent à ses utilisateurs, mais également à toute personne possédant des cryptomonnaies sur un téléphone Apple, de désactiver iMessage, pour éviter de toute perte.
L’annonce a été faite sur le réseau social X, et a fait l’effet d’une bombe dans la sphère crypto. Et pour cause : TrustWallet est le portefeuille le plus utilisé au monde. La publication a cependant rapidement été pointée du doigt et remise en question par les internautes, et divers acteurs du secteur. Certains accusent l’ex succursale de Binance de propager de fausses alertes, et d’autres de nuire à la réputation d’Apple.
Explications
L’alerte émise par TrustWallet concerne une faille iOS soi-disant exploitable, vendue deux millions d’euros sur le Dark Web. Elle prétend pouvoir infiltrer n’importe quel iPhone. Voici ce que dit TrustWallet dans sa première publication :
Alerte pour les utilisateurs iOS : nous disposons d’informations crédibles concernant un exploit Zero Day à haut risque ciblant iMessage sur le Dark Web. Cela peut infiltrer votre iPhone sans cliquer sur aucun lien. Des cibles de grande valeur sont probables. Chaque utilisation augmente le risque de détection.
Suite à ce post, la sphère crypto s’est alarmée, et des entreprises en cybersécurité ont aussi enquêté de leur côté. C’est le cas de Kerberus Sentiel3, un service de sécurité web 3 qui bloque les menaces en temps réel. Ce dernier a ensuite fait part de ses recherches dans une publication concernant la prétendue faille Zero Day trouvée par TrustWallet.
Résultat ?
C’est probablement du pipeau. Le code de la page internet où est publiée l’annonce est selon Kerberus de niveau débutant, et entièrement généré avec ChatGPT. Cela fait perdre en crédibilité à TrustWallet. De nombreuses personnes remettent désormais en question son efficacité sur le sujet.
Le fournisseur de portefeuille crypto a ensuite fait une longue publication pour expliquer ses motivations. Selon lui, même si aucune preuve concrète concernant l’existence de cet exploit n’est en sa possession, il s’agit de ne prendre aucun risque. Il précise par ailleurs ne rien avoir contre les bulles bleues d’iMessage et Apple.
Selon ce raisonnement, n’importe qui peut s’amuser à prétendre vendre une faille iOS Zero Day plusieurs millions d’euros, tout en étant pris au sérieux par des fournisseurs de portefeuilles internationaux. Il suffirait pour cela, d’une page internet d’un niveau amateur sur le Dark Web. L’iPhone n’est bien sûr pas invulnérable aux cyberattaques, mais dans le cas présent, elle semble infondée, et nuit à la réputation d’Apple.
Peut être que TrustWallet digère mal l’enquête à son encontre initié par les États-Unis en février dernier, à propos du vol de cryptomonnaies via son application iOS. L’enquête a révélé que TrustWallet utilisait un code open source avec des fonctions non sécurisées pour générer de nouveaux portefeuilles.